Botnetz tarnt sich durch falsche SSL-Pings

Ziel sind unter anderem Server von FBI, CIA, Yahoo und Twitter. Auf eine fehlerhafte Handshake-Anfrage folgt nichts mehr. So fallen Rückmeldungen eines Zombie-Rechners beim Kontrollserver weniger auf.

Joe Stewart von SecureWorks auf der Konferenz Black Hat 2008 (Bild: Robert Vamosi, News.com)
Joe Stewart von SecureWorks auf der Konferenz Black Hat 2008 (Bild: Robert Vamosi, News.com)

Um seinen Kontrollserver besser zu tarnen, senden die Zombie-Systeme des Botnetzes Pushdo falsche SSL-Anfragen an große Websites. Dieses neuartige Vorgehen hat SecureWorks-Mitarbeiter Joe Stewart jetzt öffentlich gemacht.

Zu den Servern, die zur Tarnung kontaktiert werden, zählen laut Shadow Server Foundation die der CIA, des FBI, von Paypal, Yahoo und Twitter. Ziel ist es nicht, diese Server lahmzulegen. Als Betreiber sieht man nur „einige seltsamen Verbindungen, die völlig sinnlos erscheinen. Es sieht so aus, als sollte ein SSL Handshake eingeleitet werden. Die Anfrage ist aber fehlerhaft, und danach kommt nichts mehr“, so Stewart.

Stewarts Theorie ist, dass der fehlerhafte SSL-Verkehr verhindern soll, dass eine Analyse des von einem Zombie ausgehenden Traffics zum Kontrollserver des Botnetzes führt. Pushdo verwendet nämlich für solche Verbindungen ebenfalls einen gefälschten SSL-Header. „Bei einer oberflächlichen Untersuchung sieht das alles wie SSL-Traffic aus.“

Das Internet-Verschlüsselungsverfahren SSL wird gewöhnlich verwendet, um Daten wie Passwörter oder Kreditkartennummern für andere unsichtbar über das Internet zu versenden. Seine wichtigsten Einsatzgebiete sind Onlineshopping und Onlinebanking.

Pushdo lädt immer wieder neue Trojaner auf einmal infizierte Systeme. Es wurde laut Stewart unter anderem schon für Spamversand mit dem Spambot „Cutwail“ genutzt.

Er schätzt die Zahl der angeschlossenen Systeme auf 300.000. Die Betreiber säßen vermutlich in Osteuropa und vermieteten die gesammelte Rechenkraft an Kriminelle. „Das ist ein typisches ‚Pay-per-install‘-System“, so Stewart – also eines, für das der Betreiber eine Gebühr pro bereitgestelltem Fremdrechner verlangt. Es werde verwendet, um Onlinebanking-Trojaner, Tools für Passwortdiebstahl und das Anklicken von Anzeigen oder Suchbetrug zu verteilen.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Botnetz tarnt sich durch falsche SSL-Pings

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *